随着目前网络规模和业务的快速发展,网络管理系统的作用越来越重要、也越来越复杂,如何保证网管系统能够7×24小时对全网进行监控维护,在构建电信级网络的同时如何构建电信级网管?成为一个重要的课题。
一个典型的管理网络主要有如下三个层次组成:网管通信网络,主要是网管和设备之间的通道网络;网管站,主要包括系统硬件,操作系统、数据库、网管软件等;网管应用,主要是合法的用户对网络可以进行合法操作。
一个高可靠、稳定的网管系统的建设和运行,需要综合考虑各方面因素,华为公司数通网管根据多年建设和运维经验,提出了一整套保证系统稳定可靠运行的分层方案。
网管通道隔离
在网管网络建设中主要有如下三种方式:
1.采用带外网管通道
网管网络建设大部分采用“交叉原则”,网管网需要和管理对象提供的业务网络独立,这种组网就是带外网管。
采用带外网管一方面保证了网管的可靠性,在管理对象发生故障时,由于网管通路独立于这个发生故障的被管设备,保证网管的运维指令能够到达被管理设备,保证了网管的可靠性。另一方面,目前的数通网络主要提供数据服务,采用带外网管,可以保证网管网和业务网络的物理隔离,从而保证了网管网的安全性。
采用带外网管一般采用独立的DCN网络(DDN、X.25、E1、FR),网管服务器和被管对象通过路由器和DTU联成一个专网,传送网管信息;在设备侧,连接被管理设备的以太管理接口(一般设备都提供该接口)。
对于较高要求网络和设备,可以采用网管网络的多路由备份的方式保证设备和网管间通道的畅通。
2.组建单独的网管VPN网络
目前VPN技术发展迅速,包括VPDN和专线VPN技术,网管网络减少比较普遍的是专线VPN技术,包括GRE、IPSec、MPLS、VLL,由于网管对象一般包括接入层、汇聚层甚至骨干层的设备,一般接入的设备不支持VPN,主要通过VLAN进行二层隔离,网管信息采用单独的VLAN上行,在网络进行VLAN规划的时候需要考虑。在汇聚层(Router或者BAS)设备要求支持VPN和VLAN,且能够实现VLAN到VPN标签的映射,保证网管信息能够通过VPN网络传递到和网管服务器连接的VPN网关设备。
3.采用防火墙将网管站和公众业务网络隔离
网管网络和业务网络没有隔离情况下,在网管设备和被管对象之间增加防火墙。防火墙提供基于算法的高速ACL查找、静态和动态黑名单过滤、基于代理技术的SYNFlood防御、基于ISPKeeper专利技术的流控等特性。
网管站加固
1.操作系统情况
1)数通网管支持Windows 2000 Server作为操作系统软件。
在Windows 2000 Server系统中,存在有比较多的安全漏洞和隐患。这些漏洞和隐患很容易被本地和远程的攻击者用来对操作系统进行攻击。从而影响网管系统的安全性。
为了提高系统的安全性,使服务器能够有效地避免非法攻击,为服务器的正常运行提供保障,华为公司针对上面的安全性原则,单独开发了“Win2000安全定制工具”。主要提供以下功能:
1)执行进程监控
该功能对WIN32程序的执行进程监控,只允许通过合法检查的WIN32程序(包括服务)运行。未通过合法检查的WIN32程序禁止执行并告警、记录日志,从而禁止程序的非法执行。
网管系统专用保护工具接收到通知以后检查要执行的程序是否合法,如果是,则让Windows 2000 Server继续完成进程创建的初始化工作;否则终止Windows 2000 Server的进程创建的初始化工作。
2)重要文件完整性校验
网管系统完整性检测是定时指对网管服务器上的一些重要文件进行校验,检查重要文件(如数据文件或程序)是否被修改或者删除。
3)关闭WIN2000服务器的多余的端口和服务,改变缺省设置。包括:设置目录文件的ACLS;设置注册表的ACLS;设置注册键的值;停止不必要的服务;封闭/打开TCP/IP端口;设置IIS服务;设置Microsoft SQL Server安全属性参数。
2)在UNIX服务器上,病毒相对没有Windows泛滥,安全的重点是防止利用UNIX的服务和协议进行DOS和DDOS等攻击。在网管服务器,可以只保留和网管有关的服务和端口,关闭和网管无关的服务和端口,避免非法用户通过其他服务访问网管服务器。
这其中主要有四种方法:关闭和N2000网管无关的服务器和端口;修改services文件,关闭相关的端口;修改inetd.conf文件,关闭相关网络服务;修改telnet方式的ACL,只有在ACL列表的工作站才能telnet到网管服务器上;修改telnet的提示信息,屏蔽操作系统信息,同时提供版权声明等。
2.网管数据冗余备份
网管数据库的备份
数通网管系统提供一个独立的图形界面的数据库备份工具,可以对网管数据库进行自动和手工备份和恢复,备份介质可以为磁盘或者外接的磁带。
磁盘镜像和磁盘阵列
针对Solaris,磁盘镜像通过主用磁盘和备用磁盘互为镜像的方式,网管系统对主用磁盘的所有操作,都同步的对其备用磁盘进行操作,一旦主用磁盘失效,网管系统就采用备用磁盘进行工作。
针对Windows,目前PC服务器缺省配置了RAID(Redundant Array of Independent Disks)卡,可以把多块独立的物理硬盘按照不同的组合形成一个硬盘组(逻辑硬盘),从而提供比单个硬盘更高的存储性能和提供数据冗余。
远程网管数据复制
网管数据的本地备份的策略,为了进一步提高网管数据的安全性,提高容灾能力,需要网管系统提供远程数据复制的方案,从而能够自动将运行系统中的数据备份到异地,达到容灾备份的效果。
3.网管站冗余备份
网管站的冗余备份从位置上来说,包括本地双机备份和异地双机备份,主要是运行主备两个网管服务器,双机软件在检测到主用网管服务器故障后,能够切换到备用网管服务器上;同样,在备用网管服务器发生故障后,能够自动切换到主用的网管服务器上。
网管应用安全管理
网管系统的安全的一个重要威胁来自网管运维部门内部,包括:网管内部操作人员、管理人员;可能的远程维护终端;可能的虚拟运营商、集团用户远程管理终端;可能的个人用户服务终端;与各种外部系统的连接,比如各种BSS系统、分级管理系统等。
这些部门人员的有意或者无意的非正当操作,都会影响整个网络设备的安全运行,对这些情况的解决方案如下:
1.用户分权分域
当创建一个用户时候,对用户操作权限和可操作的对象进行设定,当用户登录网管系统后,能够看到的网络拓扑就是拥有权限的拓扑,操作、监控也只能针对自己拥有权限的对象进行,保证了网络的安全稳定。
2.登录用户管理
网管能够提供当前在线用户的查询和监控,网管系统管理员能够实时监控网管在线的某一个用户的具体操作,系统管理员有权限将其他登录用户强制退出,防止一般用户特别是远程技术支援用户执行一些危险的操作。
3.用户的客户端登陆进行限制
DMS维护一个IP地址列表,每个用户也对应一个地址控制列表。当管理员启动IP地址安全鉴别开关后,只有在符合两表的交集的地址的客户端,才能访问网管系统。支持用户和IP地址绑定功能,可以设定某个用户只能通过某个特定IP地址的客户端进行登陆。
通过网管客户端的管理,可以有效防止获得口令的内部人员使用非法客户端登录网管。
支持自动/手动锁定客户端,使网管系统更安全。如果客户端长时间没有操作,DMS注销其登录用户,用户再次使用该客户端时,需要重新进行用户登录。
使用同一IP地址启动的客户端连续多次登录失败时,系统会给出提示,通知故障管理系统。
4.登录后所有操作都将记录在案
网管系统各应用对用户执行的操作进行记录,而且可以实时查看,所有操作有据可查。DMS提供操作日志实时监视窗口,上面显示当前用户对网管的操作情况,用户可以实时监视操作日志,按照所设置的查询条件查询操作日志。
一个典型的管理网络主要有如下三个层次组成:网管通信网络,主要是网管和设备之间的通道网络;网管站,主要包括系统硬件,操作系统、数据库、网管软件等;网管应用,主要是合法的用户对网络可以进行合法操作。
一个高可靠、稳定的网管系统的建设和运行,需要综合考虑各方面因素,华为公司数通网管根据多年建设和运维经验,提出了一整套保证系统稳定可靠运行的分层方案。
网管通道隔离
在网管网络建设中主要有如下三种方式:
1.采用带外网管通道
网管网络建设大部分采用“交叉原则”,网管网需要和管理对象提供的业务网络独立,这种组网就是带外网管。
采用带外网管一方面保证了网管的可靠性,在管理对象发生故障时,由于网管通路独立于这个发生故障的被管设备,保证网管的运维指令能够到达被管理设备,保证了网管的可靠性。另一方面,目前的数通网络主要提供数据服务,采用带外网管,可以保证网管网和业务网络的物理隔离,从而保证了网管网的安全性。
采用带外网管一般采用独立的DCN网络(DDN、X.25、E1、FR),网管服务器和被管对象通过路由器和DTU联成一个专网,传送网管信息;在设备侧,连接被管理设备的以太管理接口(一般设备都提供该接口)。
对于较高要求网络和设备,可以采用网管网络的多路由备份的方式保证设备和网管间通道的畅通。
2.组建单独的网管VPN网络
目前VPN技术发展迅速,包括VPDN和专线VPN技术,网管网络减少比较普遍的是专线VPN技术,包括GRE、IPSec、MPLS、VLL,由于网管对象一般包括接入层、汇聚层甚至骨干层的设备,一般接入的设备不支持VPN,主要通过VLAN进行二层隔离,网管信息采用单独的VLAN上行,在网络进行VLAN规划的时候需要考虑。在汇聚层(Router或者BAS)设备要求支持VPN和VLAN,且能够实现VLAN到VPN标签的映射,保证网管信息能够通过VPN网络传递到和网管服务器连接的VPN网关设备。
3.采用防火墙将网管站和公众业务网络隔离
网管网络和业务网络没有隔离情况下,在网管设备和被管对象之间增加防火墙。防火墙提供基于算法的高速ACL查找、静态和动态黑名单过滤、基于代理技术的SYNFlood防御、基于ISPKeeper专利技术的流控等特性。
网管站加固
1.操作系统情况
1)数通网管支持Windows 2000 Server作为操作系统软件。
在Windows 2000 Server系统中,存在有比较多的安全漏洞和隐患。这些漏洞和隐患很容易被本地和远程的攻击者用来对操作系统进行攻击。从而影响网管系统的安全性。
为了提高系统的安全性,使服务器能够有效地避免非法攻击,为服务器的正常运行提供保障,华为公司针对上面的安全性原则,单独开发了“Win2000安全定制工具”。主要提供以下功能:
1)执行进程监控
该功能对WIN32程序的执行进程监控,只允许通过合法检查的WIN32程序(包括服务)运行。未通过合法检查的WIN32程序禁止执行并告警、记录日志,从而禁止程序的非法执行。
网管系统专用保护工具接收到通知以后检查要执行的程序是否合法,如果是,则让Windows 2000 Server继续完成进程创建的初始化工作;否则终止Windows 2000 Server的进程创建的初始化工作。
2)重要文件完整性校验
网管系统完整性检测是定时指对网管服务器上的一些重要文件进行校验,检查重要文件(如数据文件或程序)是否被修改或者删除。
3)关闭WIN2000服务器的多余的端口和服务,改变缺省设置。包括:设置目录文件的ACLS;设置注册表的ACLS;设置注册键的值;停止不必要的服务;封闭/打开TCP/IP端口;设置IIS服务;设置Microsoft SQL Server安全属性参数。
2)在UNIX服务器上,病毒相对没有Windows泛滥,安全的重点是防止利用UNIX的服务和协议进行DOS和DDOS等攻击。在网管服务器,可以只保留和网管有关的服务和端口,关闭和网管无关的服务和端口,避免非法用户通过其他服务访问网管服务器。
这其中主要有四种方法:关闭和N2000网管无关的服务器和端口;修改services文件,关闭相关的端口;修改inetd.conf文件,关闭相关网络服务;修改telnet方式的ACL,只有在ACL列表的工作站才能telnet到网管服务器上;修改telnet的提示信息,屏蔽操作系统信息,同时提供版权声明等。
2.网管数据冗余备份
网管数据库的备份
数通网管系统提供一个独立的图形界面的数据库备份工具,可以对网管数据库进行自动和手工备份和恢复,备份介质可以为磁盘或者外接的磁带。
磁盘镜像和磁盘阵列
针对Solaris,磁盘镜像通过主用磁盘和备用磁盘互为镜像的方式,网管系统对主用磁盘的所有操作,都同步的对其备用磁盘进行操作,一旦主用磁盘失效,网管系统就采用备用磁盘进行工作。
针对Windows,目前PC服务器缺省配置了RAID(Redundant Array of Independent Disks)卡,可以把多块独立的物理硬盘按照不同的组合形成一个硬盘组(逻辑硬盘),从而提供比单个硬盘更高的存储性能和提供数据冗余。
远程网管数据复制
网管数据的本地备份的策略,为了进一步提高网管数据的安全性,提高容灾能力,需要网管系统提供远程数据复制的方案,从而能够自动将运行系统中的数据备份到异地,达到容灾备份的效果。
3.网管站冗余备份
网管站的冗余备份从位置上来说,包括本地双机备份和异地双机备份,主要是运行主备两个网管服务器,双机软件在检测到主用网管服务器故障后,能够切换到备用网管服务器上;同样,在备用网管服务器发生故障后,能够自动切换到主用的网管服务器上。
网管应用安全管理
网管系统的安全的一个重要威胁来自网管运维部门内部,包括:网管内部操作人员、管理人员;可能的远程维护终端;可能的虚拟运营商、集团用户远程管理终端;可能的个人用户服务终端;与各种外部系统的连接,比如各种BSS系统、分级管理系统等。
这些部门人员的有意或者无意的非正当操作,都会影响整个网络设备的安全运行,对这些情况的解决方案如下:
1.用户分权分域
当创建一个用户时候,对用户操作权限和可操作的对象进行设定,当用户登录网管系统后,能够看到的网络拓扑就是拥有权限的拓扑,操作、监控也只能针对自己拥有权限的对象进行,保证了网络的安全稳定。
2.登录用户管理
网管能够提供当前在线用户的查询和监控,网管系统管理员能够实时监控网管在线的某一个用户的具体操作,系统管理员有权限将其他登录用户强制退出,防止一般用户特别是远程技术支援用户执行一些危险的操作。
3.用户的客户端登陆进行限制
DMS维护一个IP地址列表,每个用户也对应一个地址控制列表。当管理员启动IP地址安全鉴别开关后,只有在符合两表的交集的地址的客户端,才能访问网管系统。支持用户和IP地址绑定功能,可以设定某个用户只能通过某个特定IP地址的客户端进行登陆。
通过网管客户端的管理,可以有效防止获得口令的内部人员使用非法客户端登录网管。
支持自动/手动锁定客户端,使网管系统更安全。如果客户端长时间没有操作,DMS注销其登录用户,用户再次使用该客户端时,需要重新进行用户登录。
使用同一IP地址启动的客户端连续多次登录失败时,系统会给出提示,通知故障管理系统。
4.登录后所有操作都将记录在案
网管系统各应用对用户执行的操作进行记录,而且可以实时查看,所有操作有据可查。DMS提供操作日志实时监视窗口,上面显示当前用户对网管的操作情况,用户可以实时监视操作日志,按照所设置的查询条件查询操作日志。
